php
Boletins de php.
typo3/html-sanitizer: falha ao reconhecer tags de fechamento com variações de espaço em branco
Quando ALLOW_INSECURE_RAW_TEXT está ativado, tags de fechamento com variações de espaço em branco (ex.
typo3/cms-core: Cross-Site Scripting no plugin Indexed Search
Vulnerabilidade de Cross-Site Scripting no plugin Indexed Search: títulos de página com marcação HTML são armazenados no índice de
typo3/cms-core: Falha na verificação de permissão de leitura na área de transferência
Usuários do backend podiam inserir registros e arquivos arbitrários na área de transferência do TYPO3 sem as devidas verificações
typo3/cms-core: Falha na verificação de permissão em rotas da API do Backend permite acesso a metadados de arquivos fora dos mounts permitidos
Usuários autenticados do Backend podiam recuperar metadados de arquivos via rotas da API do Backend sem as devidas verificações de
typo3/cms-core: bypass de verificação de caminho em GeneralUtility::isAllowedAbsPath()
A verificação de caminho em GeneralUtility::isAllowedAbsPath() usava comparação de prefixo de string sem exigir um separador de di
typo3/cms-core: Cache e Registry agora validam desserialização contra Object Injection
O cache frontend (VariableFrontend) e o armazenamento persistente chave-valor (Registry) agora desserializam payloads PHP com vali
typo3/cms-core: Backend users could move records without edit permissions on source page
Backend users could move records to a different page without edit permissions on the source page.
typo3/html-sanitizer: bypass de XSS por codificação incorreta de atributos de namespace
Atributos de namespace não são codificados corretamente durante a serialização HTML, permitindo bypass do mecanismo de prevenção d
typo3/cms-core: Open redirect via GeneralUtility::sanitizeLocalUrl
Aplicações que usam GeneralUtility::sanitizeLocalUrl estão vulneráveis a ataques de redirecionamento aberto se a URL for usada apó
typo3/cms-core: Restrição de restauração no módulo Recycler corrigida
Usuários do backend com acesso ao módulo Recycler podiam restaurar registros soft-deleted em páginas ou tabelas não autorizadas.
typo3/cms-core: Vulnerabilidade de download de arquivos do armazenamento fallback no Media Module
Usuários do backend com permissões de download de arquivos podiam baixar arquivos do armazenamento fallback da camada de abstração
typo3/cms-core: bypass de upload de definições de formulário com extensões de case misto
Usuários do backend com permissões de escrita podem enviar arquivos de definição de formulário com extensões de case misto (ex.
typo3/cms-core: Bypass de validação e escalada de privilégios no Form Framework
Usuários do backend com acesso de escrita à tabela form_definition podem contornar a validação de persistência e as verificações d
typo3/cms-core: Vulnerabilidade no Form Framework permite execução de SQL arbitrária
Usuários do backend com acesso ao Form Framework podiam usar arquivos que não terminam em .
Laracon US 2026: Programação completa de palestrantes anunciada
Laracon US 2026 anunciou sua programação completa de palestrantes para 28-29 de julho em Boston, incluindo Taylor Otwell, Aaron Fr
guzzlehttp/psr7: CRLF injection via Host header in URI host components
guzzlehttp/psr7 did not reject ASCII control characters, whitespace, or DEL in first-party URI host components, allowing CRLF inje
guzzlehttp/guzzle-services: serialização insegura de valores escalares em XML com CDATA
guzzlehttp/guzzle-services não serializa com segurança valores escalares de elementos XML que contenham o terminador CDATA `]]>`,
filament/tables: validação de escopo em AttachAction e AssociateAction corrigida
O método `recordSelectOptionsQuery()` escopava as opções do campo Select em AttachAction e AssociateAction, mas a regra de validaç
CodeIgniter 4: Validação ext_in permite upload de arquivos maliciosos
A regra de validação `ext_in` usava a extensão derivada do MIME em vez da extensão fornecida pelo cliente, permitindo que arquivos
symfony/runtime: correção incompleta do CVE-2024-50340 permite manipulação de argv via query string
A correção original do CVE-2024-50340 no symfony/runtime era incompleta.
pheditor: Vulnerabilidade de Injeção de Comando no Terminal
Uma vulnerabilidade de Injeção de Comando no SO foi descoberta no manipulador de terminal do pheditor.
laravel/framework v13.12.0 lançado
Versão 13.12.0 do pacote laravel/framework publicada no Packagist.
laravel/framework v12.61.0 lançado
Lançamento da versão 12.61.0 do pacote laravel/framework no Packagist.
guzzlehttp/guzzle 7.10.5 lançado
Lançamento da versão 7.10.5 para guzzlehttp/guzzle.
symfony/http-foundation v8.1.0 lançado
Versão v8.1.0 de symfony/http-foundation foi lançada, fornecendo uma camada orientada a objetos para a especificação HTTP.
symfony/console v8.1.0: nova versão disponível
Nova versão do symfony/console v8.
guzzlehttp/guzzle 7.10.6 lançado
Versão 7.10.6 do guzzlehttp/guzzle foi lançada.
guzzlehttp/guzzle 7.11.0: nova versão disponível
Lançamento da versão 7.11.0 do guzzlehttp/guzzle.
laravel/framework v12.61.1 lançado
Versão 12.61.1 do pacote laravel/framework publicada no Packagist.
laravel/framework v13.14.0 lançado
Lançamento da versão 13.14.0 do pacote laravel/framework no Packagist.